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1. 



This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



This REPORT consists of a total of 



. sheets, including this cover sheet. 



[ [ This re P ort is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70. 1 6 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of 



sheets. 
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This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to n 
Lack of unity of invention 



I 


12SI 


II 


□ 


III 


□ 


IV 


□ 


V 


13 


VI 


□ 


VII 


□ 


VIII 


□ 



Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability 
citations and explanations supporting such statement ' 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



Date of submission of the demand 

04 November 1999 (04.1 1.99) 



Date of completion of this report 

17 May 2000(17.05.2000) 



Name and mailing address of the IPEA/EP 



Facsimile No. 



Authorized officer 



Telephone No. 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



ternational application No. 

PCT/FR99/00837 



I. Basis of the report 



1 . This report has been drawn on the basis of {Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.): 

| | the international application as originally filed. 

toe description, pages M5 t ^ originally filed, 

pages , filed with the demand, 

pages __ , filed with the letter of ; 

pages , filed with the letter of _____ . 



^ the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-13 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



| | the drawings, sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

□ 

the description, pages 

the claims, Nos. 



□ 

the drawings, sheets/fig 



3. [__ This re P° rt ^as been established as if (some of) the amendments had not been made, since they have been considered 
to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 

4. Additional observations, if necessary: 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



Statement 
Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-13 



1-13 



1-13 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

The subject matter of claim 1 differs from the prior art 
known from document Dl (WO-A-89/02140) only in that a 
plurality of alteration instructions are applied to the 
card by the terminal. 

Document Dl, which is cited on page 1, lines 27-30 of the 
description of the present application, describes the 
application of only one alteration instruction at a time. 
Specifically, the aim of Dl is to prevent the card from 
being decremented unless the service paid for (telephone 
calls) is actually provided. 

The method known from Dl comprises altering only one data 
item on the card. Therefore, the subject matter of claim 1 
is novel. 



Nevertheless, a person skilled in the art aware of the 
method described in Dl and seeking to apply said method to 
a teleticketing system, while guaranteeing to users that 
payment will not be made unless the service is provided 
(i.e. the ticket is debited from the card), would 
automatically and non-invent ively increase the number of 
alteration instructions to be applied to the card by the 
terminal since, by definition, in teleticketing, the card 
has to be altered at least twice, namely for credit 
deduction and ticket issuing. 
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Therefore, a person skilled in the art would automatically 
arrive at the subject matter of claim 1 simply by adapting 
the teaching of document Dl to a use in teleticketing . 



It follows that claim 1 fails to comply with the 
provisions of PCT Article 33 as its subject matter does 
not involve an inventive step. 



The Examiner is of the opinion that the subject matter of 
all of dependent claims 2 to 13 can be derived in an 
obvious manner from the use of the method known from Dl in 
a teleticketing system. For example, in a teleticketing 
application, the generation of a certificate or 
authentication is necessary and thus obvious (see claims 
5-10) . 
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TRAITE DC COOPERATION EN MATIERE DE BREVETS 



RAPPORT D'EXAMEN PRELIMINAIRE IN 

(article 36 et regie 70 du PCT) 




Reference du dossier du deposant ou du 
mandataire 

464-151 177WO 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande Internationale n° 
PCT/FR99/00837 


Date du depot international (jour/mois/ann6e) 
09/04/1999 


Date de priority (jour/mois/annSe) 
09/04/1998 


Classification internationale des brevets (CIB) ou a la fois classification nationals et CIB 
G07F7/10 


Deposant 

INNOVATRON ELECTRONIQUE (SOCIETE ANONYM E) et al. 



1 . Le present rapport d'examen preliminaire international, etabli par Padministaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a ('article 36. 

2. Ce RAPPORT comprend 4 feuilles, y compris la presente feuille de couverture. 

□ II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
('administration chargee de I'examen preliminaire international (voir la regie 70.16 et ('instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 
I S Base du rapport 



d'application industrielle 
Absence d' unite de I'invention 

Declaration motivee selon Particle 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 



rregularites dans la demande internationale 
□ Observations relatives a la demande internationale 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


Vil 


□ 


VIII 


□ 



Date de presentation de la demande d'examen preliminaire 
internationale 

04/11/1999 


Date d'achevement du present rapport 

1 7. 05. 00 


Nom et adresse postale de ('administration chargee de 
I'examen preliminaire international: 

^ Office europeen des brevets 
/Mj D-80298 Munich 

Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 


Fonctionnaire autorise' ^^pS^^ 

Closa, D (1 /) 
N° de telephone +49 89 2399 2880 ^^-^ 
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RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande intemationale n° PCT/FR99/00837 



I. Base du rapport 

1 . Ce rapport a 6te redige sur la base des Elements ci-apres (les feuitles de remplacement qui ont et6 remises a 
I'office recepteur en reponse a une invitation faite conformement a f'article 14 sont considerees, dans le present 
rapport, comme "initialement deposees" et ne sont pas jointes en annexe au rapport puisqu'elies ne contiennent 
pas de modifications.) : 

Description, pages: 

1-15 version initials 

Revendications, N°: 

1-13 version initiale 



2. Les modifications ont entraine Pannulation : 

□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 

3. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont ete considerees 

comme allant au-dela de I'expose de Tinvention tel qu'il a ete depose, comme il est indique ci-apres 
(regie 70.2(c)) : 

4. Observations compiementaires, le cas echeant : 



V. Declaration motivee selon Tarticle 35(2) quant a la nouveaute, l activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : Revendications 1-13 



Non : Revendications 



Activite inventive 



Oui : Revendications 
Non: Revendications 1-13 



Possibilite d'application industrielle Oui: Revendications 1-13 

Non : Revendications 
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2. Citations et explications 
voir feuille separee 
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RAPPORT D'EXAMEN Demands intemationale n° PCT/FR99/00837 

PRELIMINAIRE INTERNATIONAL - FEUILLE SEPAREE 



Concernant le point V 

Declaration motivee selon l article 35(2) quant a la nouveaute. I'activite inventive 
et la possibility d'application industrielle: citations et explications a I'appui de 
cette declaration 

L'objet de la revendication 1 se distingue de I'art anterieur connu du document D1 
(WO-A-8902140) uniquement par le fait qu'une pluralite de commandes de 
modifications sont appliquees par le terminal a la carte. 

Le document D1, qui est cite dans la description de la presente demande a la page 1 , 
lignes 27 - 30, ne prevoit ('application que d'une seule commande de modification a la 
fois. Plus precisement D1 a pour but de n'autoriser le debit de la carte que lorsque le 
service paye (connections telephoniques) est vraiment fourni. 

Le procede connu de D1 ne prevoit la modification que d'une seule donnee de la carte. 
L'objet de la revendication 1 est done neuf. 

Neanmoins, un homme de metier connaissant le procede decrit par D1 et desirant 
I'appliquer a un systeme de telebilletique tout en conservant pour I'usager I'assurance 
que le paiement ne sera effectue que si le service est rendu (le ticket credite sur la 
carte) va automatiquement et sans aucune activite inventive augmenter le nombre de 
commandes de modifications qui doivent etre appliquees par le terminal a la carte vu 
que, par definition meme de la telebilletique, la carte doit subir au moins deux 
modifications, debit du credit et inscription du ticket. 

Par consequent Phomme de metier par simple adaptation de I'enseignement du 
document D1 a une utilisation de telebilletique va automatiquement arriver a l'objet de 
la revendication 1. 

La revendication 1 ne remplit done pas les dispositions de I'Art. 33 PCT car son objet 
ne presente aucune activite inventive. 

L'examinateur est d'avis que l'objet de toutes les revendications dependantes 2 a 13 
decoulent de fagon evidente de I'application du procede connu de D1 a un systeme de 
telebilletique. Par exemple, dans une utilisation telebilletique la creation de certificat ou 
d'authentification est necessaire et par consequent evidente (voir revendications 5 - 
10). 
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TRAITE DtHiOPERATION EN MATIERE OE BrTcVETS 



PCT 



RAPPORT DE RECHERCHE INTERNATIONALE 
(article 18 et regies 43 et 44 du PCT) 



Reference du dossier du deposant ou 
du mandataire 
464-I51177W0 


POUR SUITE voir la notification de transmission du rapport de recherche Internationale 
(formulaire PCT/iSA/220) et, le cas echeant, le point 5 ci-apres 

A DONNER 


Demande Internationale n° 
PCT/FR 99/00837 


Date du depot international (jour/mois/ann£e) 

09/04/1999 


(Date de priority (la plus ancienne) 
(jour/mois/annge) 

09/04/1998 


Deposant 

INNOVATRON ELECTRONIQUE (SOCIETE ANONYME) et al . 



Le present rapport de recherche internationale, etabli par I'administration chargee de la recherche internationale, est transmis au 
deposant conformement a ('article 18. Une copie en est transmise au Bureau international. 

Ce rapport de recherche internationale comprend g feuilles. 

[X] II est aussi accompagne d'une copie de chaque document relatif a I'etat de la technique qui y est cite. 



1. Base du rapport 

a. En ce qui concerne la langue, la recherche internationale a ete effectuee sur la base de la demande internationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donnee sous le meme point. 



□ 



la recherche internationale a ete effectuee sur la base d'une traduction de la demande internationale remise a ('administration. 



b. En ce qui concerne les sequences de nucleotides ou d'acides amines divulguees dans la demande internationale (le cas echeant) 
la recherche internationale a ete effectuee sur la base du listage des sequences : 
| | contenu dans la demande internationale, sous forme ecrite. 

deposee avec la demande internationale, sous forme dechiffrable par ordinateur. 

remis ulterieurement a I'administration, sous forme ecrite. 

remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 



2. 
3. 



□ 
□ 
□ 
□ 

□ 

□ 
□ 



La declaration, selon laquelle le listage des sequences pr^sente par ecrit et fourni ulterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposed, a ete fournie. 

La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a celles 
du listage des sequences presents par ecrit, a ete fournie. 

II a ete estime que certaines revendications ne pouvaient pas faire i'objet d'une recherche (voir le cadre I). 
II y a absence d'unite de I'invention (voir le cadre II). 



4. En ce qui concerne le titre, 

|~X~| le texte est approuve tel qu'il a ete remis par le deposant. 

| | Le texte a ete etabli par I'administration et a la teneur suivante: 



5. En ce qui concerne I'abrege, 

ry| le texte est approuv^ tel qu'il a ete" remis par le deposant 

□ le texte (reproduit dans le cadre III) a ete etabli par ('administration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a I'administration dans un delai d'un mois a compter de la date d'expedition du present rapport 
de recherche internationale. 

6. La figure des dessins a publier avec I'abrege est la Figure n° == 



| | suggeree par le deposant. Q Aucune des figures 

| | parce que le deposant n'a pas sugg6re de figure. n est ^ P ublier * 

| | parce que cette figure caracterise mieux I'invention. 



Formulaire PCT/ISA/210 (premiere feuille) (juillet 1998) 



RAPPORT DE RECHERCHE INTERNATIONALE 

Fande Internationale No 

PCT/FR 99/00837 



A. CLASSEMENT DE L'OBJET DE LA DEMANDE 

CIB 6 G07F7/10 



Selon la classification intemationale des brevets (CIB) ou a la fois selon la classification nationale et la CIB 

B. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 

Documentation mini male consultee (systeme de classification suivi des symboles de ciassement) 

CIB 6 G07F 



Documentation consulted autre que la documentation minimale dans la mesure ou ces documents relevent des domaines sur lesquels a porte la recherche 



Base de donnees electronique consultee au cours de la recherche intemationale (nom de la base de donnees, et si realisable, termes de recherche utilises) 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie 0 Identification des documents cites, avec, le cas echeant, ('indication des passages pertinents 



no. des revendi cations visees 



WO 89 02140 A (MARS) 

9 mars 1989 (1989-03-09) 

cite dans la demande 
abrege; revendi cati ons ; figures 
page 13, ligne 11 - page 20, ligne 6 

US 4 877 945 A (K. FUJISAKI) 
31 octobre 1989 (1989-10-31) 
cite dans la demande 
le document en entier 

DE 44 39 266 A (SIEMENS) 
11 avril 1996 (1996-04-11) 
abrege; revendi cati ons ; figure 

FR 2 701 578 A (GEMPLUS CARD 
INTERNATIONAL) 19 aout 1994 (1994-08-19) 

-/— 



1,2,12 

5,6,8,9 

1,2,12 



1-3,5,6, 
8,10,12 



|T| Voirla 



suite du cadre C pour la fin de la liste des documents 



Les documents de families de brevets sont indiques en annexe 



1 Categories speciales de documents cites: 



"A 



"E 1 



document definissant I'etat general de la technique, non 

considere comme particulierement pertinent 
document anterieur, mais publie a la date de dep6t international 
ou apres cette date 

document pouvant jeter un doute sur une revendication de 
pr to rite ou cite pour determiner la date de publication d'une 
autre citation ou pour une raison speciale (telle qu'indiquee) 

"O" document se referant a une divulgation orale, a un usage, a 
une exposition ou tous autres moyens 

"P" document publie avant la date de depot international, mais 
posterieurement a la date de priorite revendiquee 



'T" document ulterieur publie apres la date de depdt international ou la 
date de priorite et n'appartenenant pas a I'etat de la 
technique pertinent, mais cite pour comprendre le principe 
ou la theorie constituant la base de I'invention 

"X" document particulierement pertinent; I'inven tion revendiquee ne peut 
etre consideree comme nouvelle ou comme impliquant une activite 
inventive par rapport au document considere isolement 

"Y" document particulierement pertinent; I'inven tion revendiquee 

ne peut etre consideree comme impliquant une activity inventive 
lorsque le document est associe a un ou plusieurs autres 
documents de meme nature, cette combinaison 6tant evidente 
pour une person ne du metier 

"&" document qui fait partie de la meme famille de brevets 



Date a laquelle la recherche intemationale a ete effectivement achevee 

19 aoQt 1999 


Date d'expedition du present rapport de recherche intemationale 

27/08/1999 


Nom et adresse postale de 1 'administration chargee de la recherche intemationale 
Office Europeen des Brevets, P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 


Fonctionnaire autoris6 

David, J 
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RAPPORT DE RECHERCHE INTERNATIONALE 



Jinde Internationale No 

PCT/FR 99/00837 



C.(suite) DOCUMENTS CONSIDERES COMME PERTINENTS 



Cat eg one 



Identification des documents cites, avec,le cas echeant, I'indicatlondes passages pertinents 



no. des revendications visees 



FR 2 757 661 A (GEMPLUS) 
26 juin 1998 (1998-06-26) 
abrege; revendications; figures 

FR 2 689 662 A (GEMPLUS CARD 
INTERNATIONAL) 8 octobre 1993 (1993-10-08) 

EP 0 740 268 A (FRANCE TELECOM) 
30 octobre 1996 (1996-10-30) 

EP 0 700 023 A (KONINKLIJKE PTT NEDERLAND) 
6 mars 1996 (1996-03-06) 



1,2,5-7, 
12 



Foimulaire PCT/iSA/21 0 (suite de la deuxieme feuille) Quillet 1 992) 
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INTERNATIONAL SEARCH REPORT 

lotion on patent family members 



Rational Application No 

PCT/FR 99/00837 



Patent document 




Publication 


Patent family 




Publication 


cited in search report 




date 


member(s) 




date 


WO 8902140 


A 


09-03-1989 


EP 


0389484 


A 


03-10-1990 








JP 


3501302 


T 
1 




IK /IQ770/IC 
Uo HO/ /yHD 


A 

A 


oi iu iyoy 


JP 


63120391 


A 
A 


OA— fit- 1 QQQ 


ut ^^oy^ioo 


A 

A 


1 1 _n/i — i qqc 
1 i-u^-iyyo 


AT 


163786 


T 
1 


1 C_n / 3 — 1 QOQ 








WO 


9610810 


A 
A 


1 1 —HA — 1 QQA 

i i U4 iyyo 








DE 


59501580 


D 


09-04-1998 








EP 


0783741 


A 


16-07-1997 








ES 


2113754 


T 


01-05-1998 








JP 


9512368 


T 


09-12-1997 








US 


5889266 


A 


30-03-1999 


FR 2701578 


A 


19-08-1994 


NONE 








CD 

r K C / D /DO 1 


A 


OA— 1 QOQ 


WO 


9828719 


A 

A 


u^ u / iyyo 


r K cDoyoD^ 


A 

A 


uo-iu-iyyo 


NONE 








EP 0740268 


A 


30-10-1996 


FR 


2733615 


A 


31-10-1996 








OP 


8305812 


A 


22-11-1996 








US 


5767504 


A 


16-06-1998 








US 


5847374 


A 


08-12-1998 



EP 0700023 A 06-03-1996 NL 9401406 A 01-04-1996 

US 5635695 A 03-06-1997 
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RAPPORT DE RECHERCHE INTERNATIONALE 



A. CLASSEMENT DE L OBJET DE LA DEMANDE 

CIB 6 G07F7/10 



Oemande Internationale No 

PCT/FR 99/00837 



Seion la classification Internationale des brevets (CIB) ou a la fois selon la classification nationale et la CIB 



B. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 



Documentation minrmale consuitee {systeme de classification sutvi des symboles de classement) 

CIB 6 G07F 



Documentation consuitee autre que la documentation min.male dans la mesure ou ces documents relevent des domaines sur lesquels a port* la" 



recherche 



Base de donnees electronique consuitee au cours de la recherche Internationale (nom de la base de donnees, et si realisable. 



termes de recherche utilises) 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie 3 



Identification des documents cites, avec : le cas echeant. Indication des passages pertinents 



no. des revendications visees 



WO 89 02140 A (MARS) 

9 mars 1989 (1989-03-09) 

cite dans la demande 
abrege; revendications; figures 
page 13, ligne 11 - page 20, ligne 6 

US 4 877 945 A (K. FUJISAKI) 
31 octobre 1989 (1989-10-31) 
cite dans la demande 
le document en entier 

DE 44 39 266 A (SIEMENS) 
11 avril 1996 (1996-04-11) 
abrege; revendications; figure 

FR 2 701 578 A (GEMPLUS CARD 
INTERNATIONAL) 19 aout 1994 (1994-08-19) 

-/-- 



1,2,12 

5,6,8,9 

1,2,12 



1-3,5,6, 
8,10,12 



suite du cadre C pour la fin de la liste des documents 



0 



Les documents de families de brevets sont indiques en annexe 



° Categories speciales de documents cites; 

"A" document definissant I'etat general de la technique, non 
considere comme particulierement pertinent 

"E" document anterieur, mais publie a la date de depot international 
ou apres cette date 

"L" document pouvant jeter un doute sur une revendication de 
priorite ou cite pour determiner la date de publication d'une 
autre citation ou pour une raison speciale (telle qu'indiquee) 

"O" document se reterant a une divulgation orale. a un usage, a 
une exposition ou tous autres moyens 

"P" document publie avant la date de depot international, mais 
posterieurement a la date de priorite revendiquee 



"T" document ufterieur publie apres la date de depot international ou la 
date de priorite et n appartenenant pas a I'dtat de la 
technique pertinent, mais cite pour comprendre le principe 
ou la theorie constituant ta base de I'invention 

"X" document particulierement pertinent; I'inven tion revendiqu6e ne peut 
etre consideree comme nouvelle ou comme impliquant une activite 
inventive par rapport au document considere isolement 

"Y" document particulierement pertinent; t'inveh tion revendiquee 

ne peut etre consideree comme impliquant une activite inventive 
lorsque le document est associe a un ou plusieurs autres 
documents de meme nature, cette combinaison etant evidente 
pour une personne du metier 
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Resume 

Basic 

FR2757661 A The secure data transfer between a smart card and another device makes use of digital signatures to 
validate the initiation of the transfer of data, storing the signature in a memory zone in the smart card , then, when the 
transfer is complete, erasing the signature from the smart card memory. 

The presence or absence of the digital signature in the card memory is used to determine whether the communication 
has stalled or has successfully completed, if the communication has stalled the digital signature in the card is replaced 
with a new, different, signature, and the communication resumed, with the new signature being removed when the 
transfer is terminated. 

USE - Data transfer over cellular system such as GSM or over Internet 

ADVANTAGE - Overcomes desynchronisation effects caused by interruption of communication between smart card and 
central computer. (Dwg.2/5) 
Equiv. US 

US6058483 A The secure data transfer between a smart card and another device makes use of digital signatures to 
validate the initiation of the transfer of data, storing the signature in a memory zone in the smart card , then, when the 
transfer is complete, erasing the signature from the smart card memory. 

The presence or absence of the digital signature in the card memory is used to determine whether the communication 
has stalled or has successfully completed. If the communication has stalled the digital signature in the card is replaced 
with a new, different, signature, and the communication resumed, with the new signature being removed when the 
transfer is terminated. 

USE - Data transfer over cellular system such as GSM or over Internet 

ADVANTAGE - Overcomes desynchronisation effects caused by interruption of communication between smart card and 

central computer. 
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Basic 

EP-740268 A The memory card comprises a counter region consisting of at least two levels of counters of at least two 
bits each which may be used on an abacus principle. A first indicator region consists of at least two indicast two bits, 
serving to display the effective erasure of the counters. There is also a balance region accessible for reading and 
writing. It is only erasable if the contents of the counter region have been incremented. 

A second indicator region is structured in two fields associated with the balance region. Writing of the balance bits 
takes place simultaneously in the balance region and in the second indicator region. The balance region and the 
second indicator region each comprise a validation bit allowing determination of whether the present balance is 
completely written. 

USE - Memory card for holding telephone call units enabling use of public telephone. (Dwg.2/2) 
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Resume 

Basic 

DE4439266 A The card inserted into a recharging terminal carries a 
nonvolatile semiconductor memory (NVM) e.g. an EEPROM divided 
into areas including two multistage counters (WBA.WBB) linked 
by a switching device (SV) to programming logic (PL) and 
verification logic (VL) in a control unit (ST). 

The switching is performed by a selection logic circuit (AL) connected to a nonvolatile flag memory (FS) and addressed 
by a charging control signal (LAD). The new count is written into 

the provisional counter which is switched into the nonvolatile state only after a check on correct writing. 
USE/ADVANTAGE - For reloadable phonecard as counter for prepaid units. Counter of portable data carrier can be 
recharged easily 

without risk of fraudulent manipulation because of swapping 
between volatile and non-volatile memory.(Dwg.1/1) 
Equiv. Europ. 

EP-783741 B The card inserted into a recharging terminal carries a 
nonvolatile semiconductor memory (NVM) e.g. an EEPROM divided 
into areas including two multistage counters (WBA.WBB) linked 
by a switching device (SV) to programming logic (PL) and 
verification logic (VL) in a control unit (ST). 

The switching is performed by a selection logic circuit (AL) connected to a nonvolatile flag memory (FS) and addressed 
by a charging control signal (LAD). The new count is written into 

the provisional counter which is switched into the nonvolatile state only after a check on correct writing. 
USE/ADVANTAGE - For reloadable phonecard as counter for prepaid units. Counter of portable data carrier can be 
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Procede pour modifier de maniere indivisible 
un0 pluralite d'emplacements de la memoire non volatile 
d'une carte a microcircuit, notamment une carte sans contact 

5 L'invention concerne les cartes a microcircuit, et plus particuliere- 

ment les cartes a microprocesseur, qui realisent elles-memes diverses 
modifications de leur memoire non volatile. 

Lors de Fexecution d f une transaction, la memoire est generalement 
modifiee, une ou plusieurs fois, et il est bien entendu necessaire de 
10 s'assurer alors que toutes les modifications ont bien ete correctement 
effectupes avant de pouvoir exploiter les informations nouvellement 
inscrites, les informations nouvellement inscrites devant etre ignorees 
ou effacees en cas d'erreur ou de defaut d'integrite de l'inscription. 

Le |US-A-4 877 945 decrit ainsi la maniere de detecter une ano- 
15 malie survenue au cours d'une sequence d'ecriture de plusieurs infor- 
mations afin d ! emp§cher la poursuite de la transaction sur des bases 
erronees. 

II qst par ailleurs souhaitable, en cas d'anomalie, de pouvoir reve- 
nir au statu quo ante, c'est-a-dire qu'une transaction xilterieure devra 
20 §tre a meme d'operer sur les valeurs des informations qui etaient ins- 
crites dans la carte avant Texecution de la transaction incorrecte. 

Le US-A-4 877 945 precite n'offre pas cet avantage, car les ancien- 
nes valeurs des informations auront, pour certaines, ete perdues pen- 
dant Texecution de la transaction incorrecte, de sorte qu'il ne sera pas 
25 possible de restaurer ces informations a leur 6tat anterieur, du moins a 
partir des seules informations contenues dans cette carte. 

Le WO-A-89/02140, quant a lui, decrit une telle maniere d'operer, 
mais qui n'est applicable qu'au cas de la modification d'une information 
unique ou de plusieurs modifications d'informations independamment 
30 les unes de autres. 

Dans de nombreux cas, il est cependant necessaire de modifier au 
cours de la meme transaction plusieurs informations, et elles seront 
considerees "mutuellement interdependantes 1 ' si elles necessitent d'etre 
traitees ensemble pour la bonne execution de Tensemble des modifica- 
35 tions de Tensemble des informations. 
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Le risque de transaction imparfaite ou inachevee portant sur une 
pluralite d 'informations interdependantes est particulierement eleve 
avec les cartes du type "sans contact" , ou les limites du volume dans 
lequel la carte peut fonctionner correctement autour du terminal ne 
5 sont pas perceptibles. II existe dans ce cas un risque non negligeable de 
rupture inattendue de la communication entre carte et terminal, du a 
la sortie de la carte du rayon d'action du terminal avant la fin du trai- 
tement, ou du fait d'une perturbation passagere, par exemple le pas- 
sage d'une masse metallique a proximite. 

10 Un exemple (bien entendu non limitatif) est Tutilisation d'une telle 

carte dans une transaction de telebilletique, c'est-a-dire pour l'acces a 
un reseau de transport public, la carte jouant le double role de titre de 
transport et de porte-monnaie electronique. 

Pour pallier les difficultes precitees, et rendre "indivisibles" une 

15 pluralite d'ecritures ou autres modifications de donnees interdependan- 
tes, plusieurs solutions ont ete proposees. 

Dans l'exemple d f application indique plus haut, les systemes con- 
nus commencent par debiter le porte-monnaie, puis inscrivent les droits 
de transport acquis par 1'usager. Si Tusager retire sa carte entre les 

20 deux operations, il est invite a presenter la carte a nouveau et Tecriture 
des droits de transport est reprise. En revanche, s'il part sans! represen- 
ter sa carte, il aura ete lese. II est bien evidemment impossible de pro- 
ceder dans Tordre inverse car Tusager aurait alors interet a retirer sa 
carte avant que le porte-monnaie ne soit debite. 

25 Cette solution implique que le terminal soit specialement configure 

pour permettre, en cas d'interruption, Tactivation d'un traiteinent d'ex- 
ception gerant la reprise de la transaction (reinsertion de la carte sur 
demande du terminal). Outre la complexification du logiciel du termi- 
nal, cette solution n'est pas totalement satisfaisante dans la mesure ou, 

30 comme on Ta indique, Tusager se trouve neanmoins 16se en cas de non- 
reprise de la transaction. 

Une autre solution consiste a utiliser des informations croisees, en 
conservant dans le terminal des informations sur T6tat du porte-mon- 
naie de la carte, et r^ciproquement. Mais cette solution n'est pas non 

35 plus satisfaisante car, outre sa complexity elle augmente le volume de 
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donnees echangees entre carte et terminal et ralentit done l'execution 
de la transaction. Elle est en outre difficilement applicable a un nombre 
important d'ecritures k rendre indivisibles (trois et plus). 

L ! un des buts de l'invention est de proposer un procede permettant 
5 d'effectuer une pluralite de modifications de la mSmoire de la carte de 
maniere indivisible. 

Un autre but de l ! invention est de proposer un tel procede qui puis- 
se §tre entierement gere par la carte. Ce procede pourra done §tre mis 
en oeuvre sans modification des terminaux et sans qu f il y ait lieu de 

10 prevoir des traitements d'exception par ces terminaux, en utilisant la 
syntaxe des ordres existants et done avec une grande souplesse dans le 
choix des commandes. 

Le procede de l'invention est du type dans lequel la carte est cou- 
plee temporairement a un terminal pendant l'execution d'une transac- 

15 tion comportant Tapplication par le terminal a la carte d'une pluralite 
de commandes de modifications comprenant chacune au moins une 
operation description, dans la memoir e de la carte, d ! une information 
respective designee par la commande, les differentes informations ainsi 
inscrites etant mutuellement interdependantes. 

20 De fagon caracteristique de l'invention, ce procede comprend l'exe- 

cution, par la carte, des e tapes suivantes : a) sur reception de comman- 
des respectives correspondantes re?ues du terminal, -modifications du 
contenu de la memoire de la carte par inscription provisoire, dans la 
memoire de la carte, de chacune desdites informations interdependan- 

25 tes sans perte de valeurs anterieures correspondant a ces informati- 
ons ; puis b) finalisation de ces modifications, soit en les confirmant 
toutes, soit en les infirmant toutes, de sorte que pour des operations ul- 
terieures les commandes executees a Tetape a) soient soit toutes prises 
en compte, soit toutes sans effet. 

30 Le principe de base de Tinvention consiste ainsi a grouper la plu- 

ralite de modifications a realiser de maniere indivisible au sein d'une 
m§me etape a) et, apres avoir execute ces modifications, a valider glo- 
balement ces modifications par la carte. Si la validation est effective, a 
la prochaine operation effectuee par la carte (au cours de la meme tran- 

35 saction ou au cours d'une transaction ulterieure), son contenu accessi- 
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ble refletera necessairement les modifications operees. 

Inversement, toute interruption du fonctionnement de la carte in- 
tervenant au cours de l'etape a) annulera l'ensemble des modifications 
effectuees, et les donnees de la memoir e non volatile resteront dans 
5 leur etat anterieur a l'etape a). 

Dans un mode de realisation particulier, en cas de confirmation a 
l'6tape b), on inscrit dans la memoire de la carte un temoin confirmatif 
de bonne execution et, lorsque la carte re?oit ulterieurement une com- 
mande impliquant la lecture et/ou la modification de Tune au moins des 

10 informations inscrites a l'etape a) ou de la valeur y correspondant, la 
carte examine prealablement 1'etat du temoin et, si celui-ci n'a pas ete 
inscrit, la carte ignore ou annule les inscriptions provisoires anterieu- 
rement operees a l'etape a) et execute la commande sur la base desdites 
valeurs anterieures correspondant aux informations. Lorsque la carte 

15 examine l'6tat du temoin, si celui-ci a 6te inscrit la carte peut alors exe- 
cuter des operations de recopie des ecritures provisoires operees a 
l'etape a). 

Tres avantageusement, la carte est apte a fonctionner selon deux 
modes, a savoir un mode en session, dans lequel les inscriptions sont 
20 operees par execution des etapes a) et b), et un mode hors session, dans 
lequel l'operation des inscriptions n'est pas confirmee a l'ensemble des 
etapes a) et b). 

L'ouverture de session peut §tre implicite, par exemple a la remise 
a zero (reset) de la carte ou suite a une commande a double action 
25 d'execution d'une operation predeterminee et interpretee comme un or- 
dre d'ouverture de session. 

Par exemple, quand une inscription normalement certifiee n ! est pas 
accompagnee d'un certificat, la carte ouvre automatiquement une ses- 
sion qui traite Tinscription dans cette session. 
30 De la meme fa^on, la fermeture de session peut §tre implicite, suite 

a une commande a double action d f execution d'une operation predeter- 
mine et interpretee comme un ordre de fermeture de session. 

Par exemple, une operation de debit du porte-monnaie ferme la 
session, ce qui de plus 6vite de devoir differer la communication du cer- 
35 tificat resultant et permet de confondre les certificats de session avec 
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ceux de transaction du porte-monnaie. 

Tr&s avantageusement, le proc6de comprend une fonction d'authen- 
tification combinee a la fonction de finalisation de Tetape b), forgant 
Tinfirmation a l'6tape b) dans le cas ou Tauthentification echoue. 
5 Dans une premiere mise en oeuvre, cette authentification est ope- 

ree par la carte qui authentifie le terminal et/ou les donnees echangees 
entre terminal et carte, la carte controlant un certificat cryptographi- 
que produit par le terminal et transmis a la carte et ne conformant les 
modifications a Tetape b) que si ce certificat est reconnu correct. 

10 Dans le cas d ! un mode avec session, on peut pr6voir que, lorsque la 

carte re^oit du terminal des commandes de modification du contenu de 
la memoire incluant la verification d'un certificat cryptographique, cet- 
te verification est operee si la commande est re?ue hors session, et ne 
Test pas si la commande est re?ue en session. 

15 En d'autres termes, celles des commandes executees par la carte b) 

a l'etape b) qui normalement (c'est-a-dire hors session) verifieraient un 
certificat cryptographique, ne comprennent plus cette verification 
. quand elles sont executees dans le cadre d'une session, le "certificat de 
session authentifiant le terminal" realisant une fonction equivalente. 

20 Dans une seconde mise en oeuvre, l'authentification est operee par 

le terminal qui authentifie la carte et/ou les donnees echangees entre 
terminal et carte, la carte produisant et transmettant au terminal un 
certificat cryptographique de maniere conditionnelle, si et seulement si 
les modifications ont ete confirmees a Tetape b). 

25 Dans le cas d'un mode avec session, on peut prevoir que, lorsque la 

carte re<?oit du terminal a Tetape b) des commandes de modification du 
contenu de la memoire incluant la production d ! un certificat cryptogra- 
phique, cette production est operee si la commande est re?ue hors ses- 
sion, et ne Test pas si la commande est re?ue en session. 

30 En d^utres termes, celles des commandes executees par la carte a 

Tetape b) qui normalement (c ! est-a-dire hors session) produiraient un 
certificat cryptographique, ne comprennent plus cette production quand 
elles sont executees dans le cadre d f une session, le "certificat de session 
authentifiant le terminal" realisant une fonction equivalente. 

35 On peut par ailleurs prevoir que, lorsque la carte re9oit du terminal 
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des commandes de modification du contenu de la memoire incluant la 
production d'une pluralite de certificate cryptographiques, ces certifi- 
cate sont memorises a cette etape b), puis transmis ensemble au termi- 
nal si et seulement si les modifications ont ete confirmees a l'etape b). 
5 En d'autres termes, on prevoit de differer la communication par la 

carte des certificate cryptographiques produits normalement par les or- 
dres de l'etape b). En particulier, si une commande d'ecriture certifiee 
produit un certain certificat d'ecriture, il est souhaitable que celui-ci ne 
sorte de la carte qu'une fois l'ecriture efFectuee irrevocablement. 

10 Dans une forme de mise en ceuvre particuliere, au moins certaines 

des commandes susceptibles d'§tre executees a l'etape b) comprennent 
un eventuel attribut d 'inhibition et, si la carte execute une telle com- 
mande en session a une etape b), les modifications operees par cette 
commande prennent effet independamment du resultat de l'etape b). 

15 En d'autres termes, 1'attribut definit si la commande est efFectuee 

en session (c'est-a-dire sera annulee si la session n'est pas fermee) ou 
hors session (c'est-a-dire effective immediatement, comme si elle etait 
effectuee hors session, meme si elle est chronologiquement en session). 
Tres avantageusement, le procede prevoit en outre, apres Tetape b) 

20 et en cas de confirmation des modifications, la sequence d'etapes sui- 
vante : d) execution par le terminal d'une action suite a la confirmation 
par la carte ; e) en cas de bonne execution de ladite action par le termi- 
nal, inscription dans la carte d'une information de ratification ulterieu- 
rement accessible en lecture. 

25 Une telle "ratification" de la session indique k la carte que le termi^ 

nal a effectivement pu prendre les decisions (par exemple Touverture 
d'un portillon dans le cas d'une application d'acces a un reseau de 
transport en commun) suite a Texecution de la session. 

On notera que cette ratification est geree par la carte sans neces- 

30 sit€ d'vme 6criture suppl^mentaire Qa recopie des ecritures provisoires 
etant une operation qui, de toute fa?on, doit etre tot ou tard efFectuee). 
En outre cette recopie n'est operee c6te carte qu'a condition que Taction 
est bien executee c6te terminal, c'est-^-dire uniquement en cas de cohe- 
rence de Tensemble de la transaction. 

35 L'ensemble des operations 6tant geree par la carte, on peut avanta- 
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geusement prevoir que la commande d'inscription de l'etape e) est une 
commande implicite, toute commande regue par la carte apres l'etape b) 
etant interpretee comme un ordre description dans la carte d'une in- 
formation de ratification. 

5 

D'autres caracteristiques et avantages ressortiront de la descrip- 
tion ci-dessous de deux exemples de mise en oeuvre de l'invention. 

Dans ces exemples, comme d'ailleurs dans le reste du texte, le mot 
"designer", ici entendu au sens de "determiner un parmi plusieurs", 
10 vise Taction consistant a caracteriser une information particuliere par- 
mi les differentes informations contenues dans la carte. 

Cette designation peut etre implicite, parce que la commande vise 
par elle-meme une information particuliere ; par exemple, la commande 
"debiter le porte-monnaie d'un montant x" designe Templacement me- 
15 moire contenant la valeur de reformation "solde du porte-monnaie". 

Elle peut §tre egalement explicite, comme par exemple dans 
Texemple I ci-dessous, ou il est prevu des commandes d ! ecriture avec 
une adresse ou un identifiant de secteur, indexes par un indice i. 

20 Exemple I 

On se propose de realiser une carte stockant 100 valeurs de huit 
octets chacune, et supportant les ordres : 

— Lecture d'une valeur v de 8 octets, designee par son indice i de 1 a 
25 100. 

— 6criture d'une valeur v de 8 octets, designee par son indice i de 1 a 
100. 

— Ouverture de session. 

— Fermeture de session. 

30 La carte doit permettre jusqu v a trois ecritures dans une m§me ses- 

sion. Par convention, on utilisera des lettres majuscules pour designer 
les valeurs en memoire non volatile (EEPROM par exemple) et des let- 
tres minuscules pour designer les valeurs en memoire volatile (RAM, 
dont le contenu est perdu a la mise hors tension). 

35 Une zone de memoire non volatile est affectee au stockage principal 
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des donnees de la carte (ecritures definitives) : 

• V[i], i de 1 & 100 : 100 x 8 octets 
Une autre zone de memoire non volatile est affectee au mecanisme 

de session, et comprend : 

• T[k], j de 1 a 3 : 3 x 8 octets contenant les valeurs ecrites pendant 
la session (ecritures provisoires). 

• I[k], j de 1 a 3 : 3 x 1 octet contenant les indices des valeurs ecrites 
pendant la session. 

• C : 1 octet de comptage qui sera ecrit en fin de session. 
C code le nombre d'ecritures effectuees dans la session ; un meca- 
nisme de redondance approprie (associant par exemple le complement 
de cette valeur) permet d'assurer que Ton sait detecter le cas ou la va- 
leur stockee dans cet octet de comptage est incertaine. 

15 Le deroulement des operations est le suivant. 

6tape 0 : a un moment compris entre la mise sous tension de la carte et 
la premiere commande realisee, C est examine. S'il est a une valeur 
certaine de 1 a 3, alors pour k de 1 a C on copie la valeur T[k] a 
1'indice I[k] du tableau V[i]. Puis C est mis a 0, et une variable 

20 interne j a -1 (pour indiquer qu'une session n'est pas ouverte). 

Etape 1 : a la lecture on examine si j>0; si oui, on compare 1'indice i de- 
mande avec les valeurs I[k] pour k de j a 1 en decroissant. En cas 
d'identite, on retourne T[k], Dans tous les autres cas, on retourne 
VH. 

25 fetape 2 : a 1'ouverture de session, on initialise j = 0 (k noter que si une 

session est ouverte, elle est annulee) 
6tape 3 : a chaque ecriture, si j =-1 (session non ouverte), on ecrit la 

valeur v communiquee en T[0], l'indice i communique en I[0], puis 

on 6crit C=l, puis on ecrit v en V[i], puis on ecrit C=0; si 0<j<3 
30 (ecriture en session), on augmente j de 1, on ecrit v en T£j], on Scrit 

i en I[j]; si j=3 on refuse Toperation (depassement de la limite des 

ecritures en session). 
$tepe4 : &lafermeture de session, sij>0, on ecrit j en C, puis pour j de 

1 a C on copie la valeur T|j] a Tindice I[jl du tableau VQ. Puis C est 
35 mis&O, etj 4-1. 
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On montre qu'a tout moment on peut couper l'alimentation de la 
carte et que les valeurs lues seront correctes, c'est-a-dire pour chaque 
indice i la derniere valeur ecrite hors session ou Scrite dans une session 
close (l'ecriture est achev^e ou la session est close au moment ou une 
5 valeur non nulle est ecrite dans C). 

La cryptographie s'ajoute en empechant certaines operations si un 
certificat cryptographs que fourni a la carte est incorrect, et/ou en fai- 
sant produire a la carte des certificats cryptographiques a Tissue de 

10 certaines operations. 

Les certificats cryptographiques utilises sont bases sur une crypto- 
graphie de type connu. Par exemple, le "certificat de session authenti- 
fiant la carte" (respectivement, le terminal) est obtenu en appliquant 
c6te carte et terminal ralgorithme Secure Hash Algorithm (SHA) aux 

15 donnees fournies par la carte (resp. le terminal) et a un nombre aleatoi- 
re fourni par le terminal (resp. la carte) a l'ouverture de la session ; le 
Message Authentication Code (MAC) resultant est signe" par la carte 
(resp. le terminal) par ralgorithme de signature Digital Signature 
Algorithm (DSA) avec une cle" secrete contenue dans la carte (resp. le 

20 terminal) ; le terminal (resp. la carte) v^rifie cette signature avec une 
cl<§ publique. Un algorithme de cryptographie symetrique tel que Data 
Encryption Standard (DES) peut aussi §tre utilisee pour la production 
du MAC et/ou l'elaboration des signatures. 

Selon une option de l'invention, l'etape de production du MAC est 

25 commune aux deux sens d'authentification, et porte sur Tensemble des 
donnees de la session. Et dans le cas d'une cryptographie symetrique, le 
certificat authentifiant la carte et celui authentifiant le terminal sont 
obtenus par une seule etape de chiffrement du MAC, les certificats res- 
pectifs de la carte et du terminal s'en deduisant par une operation 

30 elementaire telle qu'extraction de certains bits predetermines. 

Exemple II 
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Dans cet exemple les donnees de la memoire sont organisees en 
secteurs comportant chacun quatre champs : 
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1. donnees ; 

2. identifiant (cle d'acces permettant de selectionner un secteur) ; 

3. pertinence : permet de determiner le secteur pertinent si deux sec- 
5 teurs ont le meme identifiant ; 

4. contrdle : permet de verifier Fintegrite des trois champs precedents 
(par exemple un controle de type parite). 

Un secteur sera designe par son identifiant, notion qui se substitue 
a celle d ! adresse. La procedure d'ecriture d f un secteur a comme para- 

10 metre un identifiant et des donnees a associer a cet identifiant. La pro- 
cedure de lecture d'un secteur a comme parametre un identifiant, et 
retourne les donnees associees a cet identifiant lors de la derniere ecri- 
ture effectuee avec ce meme identifiant (ou une indication appropriee si 
cet identifiant n'a jamais ete utilise). En d'autres termes, on realise un 

15 acces de type associatif au lieu d'un acces indexe. 

Lors de la procedure de lecture d'un secteur, la carte recherche les 
secteurs dont l'identifiant a la valeur demand^e, et qui (sur la base du 
champ de contrdle) sont integres. Au cas ou plusieurs secteurs respon- 
dent a ces deux criteres, elle en retient un sur la base du champ de per- 

20 tinence. 

Lors d'une ecriture de sectexn-, la carte ecrit, dans un secteur dispo- 
nible, les champs donnees et identifiant demandes, le champ pertinence 
tel que ce secteur sera, pour la procedure de lecture, le plus pertinent 
des secteurs integres possedant cet identifiant, et le champ contrdle en 
25 accord avec les trois champs precedents (en d'autres termes, Tecriture 
est ger6e de maniere que la lecture ulterieure puisse §tre correctement 
oper6e). 

Avantageusement, la procedure d'ecriture se poursuit par Tefface- 
ment du secteur rendu non pertinent par Tecriture du nouveau secteur, 
30 creant ainsi un nouveau secteur disponible. 

On pr6voit avantageusement un systeme (complementaire) de type 
garbage collection, e'est-a-dire de recuperation des secteurs inutiles, 
qu'ils soient non integres ou non pertinents. 

On prevoit avantageusement un systeme qui repartit l'usure resul- 
35 tant de Tecriture en 6vitant d f utiliser toujours les m§mes secteurs, par 
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exemple en choisissant aleatoirement un secteur parmi les secteurs 
disponibles. 

Une variante generalement avantageuse de la procedure de recher- 
che de secteur consiste a profiter de cette etape de recherche pour effa- 
cer les secteurs dont il est determine qu'ils sont non int&gres, et/ou ceux 
qui ne sont pas les plus pertinents, recreant ainsi des secteurs libres 
(cela perd du temps lors de cette lecture, en faveur de la vitesse des 
lectures et ecritures ulterieures), Avantageusement, avant 1'efFacement 
d'un secteur dont on a determine qu'il est integre mais non pertinent, 
on ecrira a nouveau le secteur pertinent, dont Tecriture peut etre im- 
parfaite. 

La taille utile de la memoire est egale au nombre de secteurs dispo- 
nibles, moins un secteur qui doit rester efface. Tous les secteurs (y com- 
pris celui efface) sont repartis dynamiquement dans la memoire. 

Si les donnees doivent §tre structurees en fichiers, par exemple 
selon la norme ISO/IEC 7816-4, Tidentifiant de secteur se decompose en 
deux sous-champs, un identifiant de fichier et un identifiant du secteur 
dans ce fichier. 

On va donner ci-dessous une implementation (non limitative) des 
operations de lecture/ecriture utilisant cette structuration particuliere 
en secteurs : 

— Le champ de contr61e contient, code en binaire, le nombre de bits a 
zero dans les trois autres champs ; on montre que si un probleme 
tel qu ! une ecriture ou un effacement interrompu modifie un nombre 
quelconque de bits du secteur tous dans le mgme sens, le contr61e 
de la valeur du champ de controle permet toujours la detection du 
probleme. 

— Le champ pertinence est un entier de 0 a 3, code sur 2 bits. 

— La procedure de lecture par court sequentiellement tous les secteurs 
jusqu'a trouver un premier secteur possedant 1'identifiant re- 
cherche, et integre. Si cette recherche ne trouve aucun secteur, on 
termine la procedure avec un compte-rendu "secteur non trouv6 H . Si 
on trouve un tel premier secteur, on memorise sa position, ses 
donnees, et sa pertinence p. La recherche se poursuit. Si Ton de- 
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tecte un second secteur possedant l'identifiant recherche, et inte- 
gre, on teste si sa pertinence q est le reste de la division entiere de 
p+1 par 3 ; si oui, on ecrit a nouveau le second secteur, on efface le 
premier et on retourne les donnees du second ; sinon, on ecrit a 
nouveau le premier secteur, on efface le second et on retourne les 
donnees du premier. Si un second secteur n'est pas trouve et si la 
pertinence du premier secteur est p=3, on efface ce secteur et on 
donne le compte-rendu "secteur non trouve" ; dans les autres cas, 
on retourne les donnees du premier secteur trouve. 
La procedure d'ecriture commence comme la procedure de lecture 
ci-dessus. Si Ton a trouve le secteur que retournerait la procedure 
de lecture pour l'identifiant fourni, on memorise la position de ce 
secteur et sa pertinence p (qui vaut 0, 1 ou 2) ; si on ne l'a pas trou- 
ve, on selectionne un secteur libre (par la procedure ci-apres) et on 
ecrit dans ce secteur les champs identifiant, donnees, pertinence 
p=3 et controle, et Ton memorise la position et la pertinence de ce 
secteur. Dans les deux cas, on poursuit en selectionnant un secteur 
libre (par la procedure ci-apres). On ecrit dans ce secteur les 
champs identifiant, donnees, pertinence q (calculee comme le reste 
de la division entiere de p+1 par 3) et contrSle. Puis on efface le 
secteur memorise. 

Pour la recherche de secteur libre, on initialise a zero le nombre n 
de secteurs libres trouves. On examine s^quentiellement les sec- 
teurs. Pour chaque secteur, s'il est non vierge et non int&gre, on 
l'efface et il devient vierge (contribuant ainsi a la garbage collec- 
tion mentionnee plus haut) ; s f il est integre et si sa pertinence est 
p=3, on l'efface (idem) ; s'il est integre et si sa pertinence n'est pas 
p=3, alors on recherche dans la zone non encore parcourue un autre 
secteur int&gre de m§me identifiant, et si Ton en trouve un on ef- 
face celui qui n'est pas pertinent, en procedant comme pour la lec- 
ture ; si a Tissue de ce processus le secteur est vierge, on incremen- 
te le nombre n de secteurs libres trouves, et Ton effectue le tirage 
aleatoire d'un entier de 0 & n-1 ; si cet entier est 0, on memorise la 
position du secteur vierge. Quand tous les secteurs ont ete parcou- 
rus, tous les secteurs non vierges sont int^gres, il n f existe pas deux 
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secteurs de meme identifiant, on connait le nombre n de secteurs 
vierges, et Ton a memorise Fun d'eux choisi aleatoirement de ma- 
niere equiprobable. Si aucun secteur libre n ! est trouve, la procedure 
d'ecriture est interrompue. 

On va maintenant indiquer la maniere dont la carte peut gerer des 
sessions de modifications indivisibles avec une telle structuration parti- 
culiere en secteurs. 

Pour stocker les modifications indivisibles, la carte dispose dans la 
memoire non volatile de N secteurs effaces (N correspondant au nombre 
de modifications indivisibles que Ton pourra effectuer au cours d ! une 
meme session). De plus, elle gere une zone de la memoire non volatile 
(hors secteurs) d^diee a la gestion de session et appelee "descripteur de 
session". 

Cet exemple d'implementation ne comprend aucune authentifica- 
tion propre a la session. 

On definit un descripteur de session, compose de 3 champs : 

— Liste des references des secteurs indivisibles (LRSA). 

— Valeur de contrSle de creation de la liste des references des sec- 
teurs indivisibles (VCC). 

— Valeur de contrdle de prise en compte de la liste des references des 
secteurs indivisibles (VCPC), qui permettra de savoir si Ton a ou 
non ferme une session). 

IiStape 0 : initialisation : avant le premier acces aux donnees depuis la 
derniere interruption de fonctionnement de la carte, par exemple 
au reset (remise a zero), la carte doit faire en sorte que le descrip- 
teur de session soit efface. II y a plusieurs cas a considerer, selon 
1'etat du descripteur de session : 

— H est totalement efface : la carte le laisse en l'etat. 

— II n'est pas totalement efface, et la VCPC est correcte : la carte 
recherche et efface (si necessaire) tous les secteurs rendus obso- 
letes par ceux ecrits (parmi ceux references dans la liste), puis 
efface le descripteur de session. 

— II n'est pas totalement efface, la VCPC est effacee ou incorrecte 
et la VCC est correcte : la carte efface les secteurs indiques dans 
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la LRSA, puis efface le des.cripteur de session. 
— II n'est pas totalement efface, la VCPC est effacee ou incorrecte 
et la VCC est effacee ou incorrecte : la carte efface le descripteur 
de session. 

Etape 1 ; ouverture de session : la carte recherche N secteurs effaces, 
puis note la liste de leur reference et sa VCC dans le descripteur de 
session (suppose efface). 

Etape 2 : en cours de session : la carte regoit des commandes. Lorsque 
Tune d'elle provoque une ou plusieurs modifications indivisibles, les 
secteurs utilises pour noter ces modifications sont ceux notes dans 
la LRSA, a concurrence de N secteurs modifies. 

fetape 3 : fermeture de session : pour fermer la session, la carte ecrit la 
VCPC, qui assure que la LRSA et sa VCC ont ete pris en compte. 
Ensuite, elle recherche et efface tous les secteurs rendus obsoletes 
par ceux ecrits (parmi ceux references dans la liste). Enfin, elle ef- 
face le descripteur de session. 

Si, en outre, la carte gere la ratification, la gestion des sessions 
comporte les modifications ci-apres. 

Iiltape 0 : initialisation : dans ce lui des cas ou le descripteur de session 
n'est pas totalement efface et la VCPC est correcte, la carte recher- 
che et efface (si necessaire) tous les secteurs rendus obsoletes par 
ceux ecrits (parmi ceux references dans la liste), mais elle n'efface 
pas le descripteur de session. 

l£tape 1 : ouverture de session : la carte note en memoire volatile 
qu'une session est ouverte. Si le descripteur de session n'est pas 
vierge, la carte signale que la session precedente n'a pas ete ratifiee 
et peut m§me, en analysant la LRSA, indiquer quelles sont les 
donn^es non ratifiees. Quoiqu'il arrive, elle ne modifie pas le des- 
cripteur de session. 

6tape 2 : en cours de session : lors de la premiere commande avec mo- 
difications indivisibles, la carte efface le descripteur de session si 
necessaire, recherche N secteurs effaces, puis ecrit la LRSA et sa 
VCC. 

fltfrpe 3 : fermeture de session : la carte note en mSmoire volatile 



qu'aucune session n'est ouverte. Quoiqu'il arrive, elle n'efface pas le 
descripteur de session. 
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REVINDICATIONS 



1, Un procede pour modifier le contenu de la memoire non volatile 
d'une carte a microcircuit, notamment d'une carte sans contact, 
5 procede dans lequel la carte est couplee temporairement a un ter- 

minal pendant l'execution d'une transaction, notamment d'une transac- 
tion de telebilletique, comportant Tapplication par le terminal a la carte 
d'une pluralite de commandes de modifications comprenant chacune au 
moins une operation d'inscription, dans la memoire de la carte, d'une 
10 information respective designee par la commande, les differentes infor- 
mations ainsi inscrites etant mutuellement interdependantes, 

procede caracterise en ce qu'il compr6nd l'execution, par la carte, 
des etapes suivantes : 

a) sur reception de commandes respectives correspondantes regues du 
15 terminal, modifications du contenu de la memoire de la carte par 

inscription provisoire, dans la memoire de la carte, de chacune des- 
dites informations interdependantes sans perte de valeurs anteri- 
, eures correspondant a ces informations ; puis 

b) finalisation de ces modifications, soit en les confirmant toutes, soit 
20 en les infirmant toutes, de sorte que pour des operations ulterieu- 

res les commandes executes a l'etape a) soient soit toutes prises en 
compte, soit toutes sans effet. 



2. Le procede de la revendication 1, dans lequel : 

— en cas de confirmation a l'etape b), on inscrit dans la memoire de la 
carte un temoin confirmatif de bonne execution, et 

— lorsque la carte regoit ult^rieurement une commande impliquant la 
lecture et/ou la modification de Tune au moins des informations 
inscrites a l'etape a) ou de la valeur y correspondant, la carte 
examine prealablement Tetat du temoin et, si celui-ci n'a pas ete 
inscrit, la carte ignore ou annule les inscriptions provisoires 
anterieurement op&rees a T6tape a) et execute la commande sur la 
base desdites valeurs anterieinres correspondant aux informations. 
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3. Le procede de la revendication 2, dans lequel, lorsque la carte 
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examine l'etat du temoin, si celui-ci a 6te inscrit la carte execute des 
operations de recopie des ecritures provisoires operees a l'etape a). 

4. Le proc6de de Tune des revendications 1 et 2, dans lequel la carte 
5 est apte a fonctionner selon deux modes, a savoir : 

— mi mode en session, dans lequel les inscriptions sont oper6es par 
execution des etapes a) et b), et 

— un mode hors session, dans lequel Toperation des inscriptions n ! est 
pas confirmee a l'ensemble des etapes a) et b). 

10 

5. Le procede de Tune des revendications 1 a 4, comprenant une 
fonction d'authentification combinee a la fonction de finalisation de l'e- 
tape b), forgant Tinfirmation a Tetape b) dans le cas ou l'authentifica- 
tion echoue. 

15 

6. Le procede de la revendication 5, dans lequel ladite authentifica- 
tion est operee par la carte qui authentifie le terminal etfou les donnees 
echangees entre terminal et carte, la carte contrSlant un certificat cryp- 
tographique produit par le terminal et transmis a la carte et ne confir- 

20 mant les modifications a Tetape b) que si ce certificat est reconnu cor- 
rect. 

7. Le procede des revendications 4 et 6 prises en combinaison, dans 
lequel, lorsque la carte re9oit du terminal des commandes de modifica- 

25 tion du contenu de la memoire incluant la verification d f un certificat 
cryptographique, cette verification est operee si la commande est re$ue 
hors session, et ne Test pas si la commande est regue en session. 

8. Le procede de la revendication 5, dans lequel ladite authentifica- 
30 tion est operee par le terminal qui authentifie la carte et/ou les donnees 

echangees entre terminal et carte, la carte produisant et transmettant 
au terminal un certificat cryptographique de maniere conditionnelle, si 
et seulement si les modifications ont ete confirmees a Tetape b). 
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9. Le procede des revendications 4 et 8 prises en combinaison, dans 
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lequel, lorsque la carte re^oit du terminal des commandes de modifica- 
tion du contenu de la memoire incluant la production d'un certificat 
cryptograph! que, cette production est operee si la commande est regue 
hors session, et ne Test pas si la commande est re?ue en session. * 

5 

10. Le procede de Tune des revendications 1 et 2, dans lequel, lors- * 
que la carte regoit du terminal a l'etape b) des commandes de modifi- 
cation du contenu de la memoire incluant la production d'une pluralite 

de certificats cryptographiques, ces certificats sont memorises a cette 
10 etape b), puis transmis ensemble au terminal si et seulement si les 
modifications ont ete confirmees a l'etape b). 

11. Le procede des revendications 1 et 4 prises en combinaison, 
dans lequel au moins certaines des commandes susceptibles d'etre exe- 

15 cutees a l'etape b) comprennent un eventuel attribut d'inhibition, et 
dans lequel, si la carte execute une telle commande en session a vine 
etape b), les modifications operees par cette commande prennent effet 
independamment du resultat de l'etape b). 

20 12. Le procede de Tune des revendications 1 et 2, dans lequel il est 

en outre pr6vu, apres l'etape b) et en cas de confirmation des modifica- 
tions, la sequence d'etapes suivante : 

d) execution par le terminal d'une action suite a la confirmation par la 
carte ; 

25 e) en cas de bonne execution de ladite action par le terminal, inscrip- 
tion dans la carte d'une information de ratification ulterieurement 
accessible en lecture. 

13. Le procede de la revendication 12, dans lequel la commande 
30 d'inscription de l'6tape e) est une commande implicite, toute commande 
re$ue par la carte apres l'etape b) etant interpretee comme un ordre 
d'inscription dans la carte d'une information de ratification. 
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